Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
A partire da AWS ConfigAWS CLI
Nota
Prima di eseguire la configurazione AWS Config con AWS CLI, devi creare un bucket S3, un argomento SNS e un ruolo IAM con policy allegate come prerequisiti. È quindi possibile utilizzare il AWS CLI per specificare il bucket, l'argomento e il ruolo per. AWS ConfigPer impostare i prerequisiti per AWS Config, consulta Prerequisiti.
Per iniziare AWS CLI, utilizzate AWS Config i comandi put-configuration-recorder, put-delivery-channel e start-configuration-recorder, come segue:
Il comando
put-configuration-recorder
crea un nuovo registratore di configurazione per registrare le configurazioni delle risorse specificate.Il comando
put-delivery-channel
crea un oggetto del canale di distribuzione per distribuire le informazioni di configurazione a un bucket S3 e a un argomento SNS.Dopo aver creato un canale di distribuzione,
start-configuration-recorder
inizia a registrare le configurazioni delle risorse selezionate, che puoi vedere nell'account AWS .
Nota
Può essere presente un solo registratore di configurazione e un solo canale di distribuzione per ciascuna regione AWS dell'account.
Puoi specificare il nome del registratore e l'Amazon Resource Name (ARN) del ruolo IAM assunto e utilizzato AWS Config dal registratore di configurazione. AWS Config assegna automaticamente il nome «default» durante la creazione del registratore di configurazione. Non puoi modificare il nome del registratore di configurazione una volta creato. Per modificare il nome del registratore della configurazione, devi eliminarlo e creare un nuovo registratore della configurazione con un nuovo nome.
AWS Config Per configurare l'aggregazione di dati multiregione con più account con AWS CLI, consulta Configurazione di un aggregatore tramite l'interfaccia a riga di comando. AWS È necessario creare un registratore di configurazione separato per ogni regione in Account AWS cui si desidera registrare gli elementi di configurazione.
put-configuration-recorder
Il comando put-configuration-recorder
deve assomigliare a quello riportato nell'esempio seguente.
$ aws configservice put-configuration-recorder \ --configuration-recorder
file://configurationRecorder.json
\ --recording-groupfile://recordingGroup.json
Questo comando utilizza i ---recording-group
campi --configuration-recorder
and.
Nota
Gruppo di registrazione e registratore di configurazione
Il campo --recording-group
specifica quali tipi di risorse vengono registrati.
Il --configuration-recorder
campo specifica name
e la frequenza roleArn
di registrazione predefinita per il registratore di configurazione (). recordingMode
È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.
put-configuration-recorder
usa le seguenti opzioni per il parametro --recording-group
:
-
allSupported=true
— AWS Config registra le modifiche alla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa, avvia AWS Config automaticamente la registrazione delle risorse di quel tipo. -
includeGlobalResourceTypes=true
: questa opzione è un bundle che si applica solo ai tipi di risorse IAM registrati a livello globale: utenti IAM, gruppi, ruoli e policy gestite dal cliente. Questi tipi di risorse IAM globali possono essere registrati solo AWS Config nelle regioni in cui AWS Config erano disponibili prima di febbraio 2022. Non è possibile registrare i tipi di risorse IAM globali nelle regioni supportate AWS Config entro febbraio 2022. Per un elenco di tali regioni, consulta Risorse di registrazione | AWS Risorse globali.Importante
I cluster globali Aurora sono registrati in tutte le regioni abilitate
Il tipo di
AWS::RDS::GlobalCluster
risorsa verrà registrato in tutte le AWS Config regioni supportate in cui il registratore di configurazione è abilitato, anche seincludeGlobalResourceTypes
è impostatofalse
su. L'opzioneincludeGlobalResourceTypes
è un pacchetto applicabile solo agli utenti IAM, ai gruppi, ai ruoli e alle policy gestite dal cliente.Se non desideri registrare
AWS::RDS::GlobalCluster
in tutte le regioni abilitate, utilizza una delle seguenti strategie di registrazione:Registra tutti i tipi di risorse attuali e futuri con esclusioni (
EXCLUSION_BY_RESOURCE_TYPES
) oppureRegistra tipi di risorsa specifici (
INCLUSION_BY_RESOURCE_TYPES
).
Per ulteriori informazioni, consulta Scegli quali risorse devono essere registrate.
Importante
strategia di GlobalResourceTypes registrazione di inclusione ed esclusione
Il
includeGlobalResourceTypes
campo non ha alcun impatto sulla strategiaEXCLUSION_BY_RESOURCE_TYPES
di registrazione. Ciò significa che i tipi di risorse IAM globali (utenti IAM, gruppi, ruoli e policy gestite dai clienti) non verranno aggiunti automaticamente come esclusioni perexclusionByResourceTypes
quandoincludeGlobalResourceTypes
è impostato su.false
Il
includeGlobalResourceTypes
campo deve essere utilizzato solo per modificare ilAllSupported
campo, poiché l'impostazione predefinita per ilAllSupported
campo consiste nel registrare le modifiche alla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali. Per includere i tipi di risorse IAM globali quandoAllSupported
è impostato sutrue
, assicurati diincludeGlobalResourceTypes
impostarlo sutrue
.Per escludere i tipi di risorse IAM globali per la strategia di
EXCLUSION_BY_RESOURCE_TYPES
registrazione, devi aggiungerli manualmente alresourceTypes
campo diexclusionByResourceTypes
.Nota
Campi obbligatori e facoltativi
Prima di impostare
includeGlobalResourceTypes
sutrue
, imposta il campoallSupported
sutrue
.Facoltativamente, puoi anche impostare il campo
useOnly
diRecordingStrategy
suALL_SUPPORTED_RESOURCE_TYPES
.Nota
Sostituzione dei campi
Se
includeGlobalResourceTypes
imposti sufalse
ma elenchi i tipi di risorse IAM globali nelresourceTypes
campo di RecordingGroup, AWS Config registrerà comunque le modifiche alla configurazione per quei tipi di risorse specificati indipendentemente dal fatto che ilincludeGlobalResourceTypes
campo sia impostato su false.Se non desideri registrare le modifiche alla configurazione dei tipi di risorse IAM registrati a livello globale (policy gestite dal cliente o da gruppi, ruoli e utenti IAM), assicurati di non elencarli nel campo
resourceTypes
e di impostare il campoincludeGlobalResourceTypes
su false. -
recordingStrategy
: specifica la strategia di registrazione per il registratore di configurazione. Il filerecordingGroup.json
specifica quali tipi di risorse saranno registrate da AWS Config :-
Se imposti il
useOnly
campo suALL_SUPPORTED_RESOURCE_TYPES
, AWS Config registra le modifiche RecordingStrategyalla configurazione per tutti i tipi di risorse supportati, esclusi i tipi di risorse IAM globali. Facoltativamente, puoi impostare ilallSupported
campo RecordingGroupsutrue
. Quando AWS Config aggiunge il supporto per un nuovo tipo di risorsa, avvia AWS Config automaticamente la registrazione delle risorse di quel tipo. -
Se si imposta il
useOnly
campo suINCLUSION_BY_RESOURCE_TYPES
, AWS Config registra le modifiche RecordingStrategyalla configurazione solo per i tipi di risorse specificati nelresourceTypes
campo di RecordingGroup. Se si imposta il
useOnly
campo suEXCLUSION_BY_RESOURCE_TYPES
, AWS Config registra le modifiche RecordingStrategyalla configurazione per tutti i tipi di risorse supportati ad eccezione dei tipi di risorse che si specifica di escludere dalla registrazione nelresourceTypes
campo di ExclusionByResourceTypes.
Nota
Campi obbligatori e facoltativi
Il campo
recordingStrategy
è facoltativo se imposti il campoallSupported
di--recording-group
sutrue
.Il campo
recordingStrategy
è facoltativo se elenchi i tipi di risorse nel camporesourceTypes
di--recording-group
.Il campo
recordingStrategy
è obbligatorio se elenchi i tipi di risorse da escludere dalla registrazione nel camporesourceTypes
diexclusionByResourceTypes
.Nota
Sostituzione dei campi
Se scegli
EXCLUSION_BY_RESOURCE_TYPES
come strategia di registrazione, il campoexclusionByResourceTypes
sovrascrive le altre proprietà della richiesta.Ad esempio, anche se hai impostato
includeGlobalResourceTypes
su false, i tipi di risorse IAM registrati a livello globale verranno comunque registrati automaticamente in questa opzione, a meno che tali tipi di risorse non siano specificamente elencati come esenzioni nel camporesourceTypes
diexclusionByResourceTypes
.Nota
Tipi di risorse globali e strategia di registrazione di esclusione delle risorse
Per impostazione predefinita, se si sceglie la strategia di
EXCLUSION_BY_RESOURCE_TYPES
registrazione, When AWS Config aggiunge il supporto per un nuovo tipo di risorsa nella regione in cui è impostato il registratore di configurazione, inclusi i tipi di risorse globali, AWS Config avvia automaticamente la registrazione delle risorse di quel tipo.A meno che non siano specificatamente elencate come esclusioni,
AWS::RDS::GlobalCluster
verranno registrate automaticamente in tutte le AWS Config regioni supportate in cui il registratore di configurazione è abilitato.Gli utenti, i gruppi, i ruoli e le politiche gestite dai clienti di IAM verranno registrati nella regione in cui è stato configurato il registratore di configurazione, se questa è una regione in cui AWS Config era disponibile prima di febbraio 2022. Non puoi registrare i tipi di risorse IAM globali nelle regioni supportate AWS Config dopo febbraio 2022. Per un elenco di tali regioni, consulta Risorse di registrazione | AWS Risorse globali.
Di seguito è riportata la sintassi della richiesta per
recordingGroup.json
.{ "allSupported":
boolean
, "exclusionByResourceTypes": { "resourceTypes": [Comma-separated list of resource types to exclude
] }, "includeGlobalResourceTypes":boolean
, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder
" }, "resourceTypes": [Comma-separated list of resource types to include
] }Nota
Politiche di autorizzazione per AWS Organizations Can Prevent Access
Se utilizzi un ruolo IAM preesistente, assicurati che non esista una politica di autorizzazione AWS Organizations che AWS Config impedisca di avere il permesso di registrare le tue risorse. Per ulteriori informazioni sulle politiche di autorizzazione per AWS Organizations, consulta la sezione Gestione delle politiche AWS Organizations nella Guida per l'AWS Organizations utente.
Mantieni le autorizzazioni minime quando riutilizzi un ruolo IAM
Se utilizzi un AWS servizio che utilizza AWS Config, come AWS Security Hub o AWS Control Tower, e un ruolo IAM è già stato creato, assicurati che il ruolo IAM che usi durante la configurazione AWS Config mantenga le stesse autorizzazioni minime del ruolo IAM preesistente. È necessario eseguire questa operazione per garantire che l'altro AWS servizio continui a funzionare come previsto.
Ad esempio, se AWS Control Tower dispone di un ruolo IAM che AWS Config consente di leggere oggetti S3, assicurati che vengano concesse le stesse autorizzazioni al ruolo IAM che utilizzi durante la configurazione. AWS Config Altrimenti, potrebbe interferire con il funzionamento AWS Control Tower .
Nota
Numero elevato di AWS Config valutazioni
Potresti notare una maggiore attività nel tuo account durante la registrazione del mese iniziale con AWS Config rispetto ai mesi successivi. Durante il processo di avvio iniziale, AWS Config esegue valutazioni su tutte le risorse dell'account che hai selezionato per la AWS Config registrazione.
Se esegui carichi di lavoro temporanei, potresti riscontrare un aumento dell'attività dovuto alla registrazione delle modifiche alla configurazione associate alla creazione e all'eliminazione di queste risorse temporanee. AWS Config Un carico di lavoro temporaneo è un uso temporaneo di risorse di elaborazione che vengono caricate ed eseguite quando necessario. Gli esempi includono istanze Spot Amazon Elastic Compute Cloud (Amazon EC2), lavori Amazon EMR e. AWS Auto Scaling Se vuoi evitare l'aumento dell'attività dovuto all'esecuzione di carichi di lavoro temporanei, puoi configurare il registratore di configurazione per escludere questi tipi di risorse dalla registrazione o eseguire questi tipi di carichi di lavoro in un account separato con AWS Config disattivato per evitare un aumento della registrazione della configurazione e delle valutazioni delle regole.
Nota
Disponibilità nelle regioni
Prima di specificare un tipo di risorsa da AWS Config monitorare, controllate la disponibilità della copertura delle risorse per regione per verificare se il tipo di risorsa è supportato nella regione in cui state effettuando la AWS configurazione. AWS Config Se un tipo di risorsa è supportato da AWS Config almeno una regione, puoi abilitare la registrazione di quel tipo di risorsa in tutte le regioni supportate da AWS Config, anche se il tipo di risorsa specificato non è supportato nella AWS regione in cui stai effettuando la configurazione AWS Config.
-
put-configuration-recorder
usa i seguenti campi per il parametro --configuration-recorder
:
name
— Il nome del registratore di configurazione. AWS Config assegna automaticamente il nome di «default» durante la creazione del registratore di configurazione.roleARN
— Amazon Resource Name (ARN) del ruolo IAM assunto AWS Config e utilizzato dal registratore di configurazione.recordingMode
— Speciifica la frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione. AWS Config supporta la registrazione continua e la registrazione giornaliera. La registrazione continua consente di registrare continuamente le modifiche alla configurazione ogni volta che si verifica una modifica. La registrazione giornaliera consente di ricevere un elemento di configurazione (CI) che rappresenta lo stato più recente delle risorse nelle ultime 24 ore, solo se è diverso dall'elemento della configurazione registrato in precedenza.-
recordingFrequency
— La frequenza di registrazione predefinita AWS Config utilizzata per registrare le modifiche alla configurazione.Nota
AWS Firewall Manager dipende dalla registrazione continua per monitorare le risorse. Se si utilizza Firewall Manager, si consiglia di impostare la frequenza di registrazione su Continuo.
-
recordingModeOverrides
: questo campo consente di specificare le sostituzioni per la modalità di registrazione. Si tratta di un array di oggettirecordingModeOverride
. Ogni oggettorecordingModeOverride
dell’arrayrecordingModeOverrides
è composto da tre campi:description
— Una descrizione fornita per l'override.recordingFrequency
— La frequenza di registrazione che verrà applicata a tutti i tipi di risorse specificati nell'override.resourceTypes
— Un elenco separato da virgole che specifica quali tipi di risorse sono AWS Config inclusi nell'override.
-
Nota
Campi obbligatori e facoltativi
Il campo recordingMode
per put-configuration-recorder
è facoltativo. Per impostazione predefinita, la frequenza di registrazione per il registratore di configurazione è impostata su Registrazione continua.
Nota
Limiti
La registrazione giornaliera non è supportata per i tipi di risorse seguenti:
AWS::Config::ResourceCompliance
AWS::Config::ConformancePackCompliance
AWS::Config::ConfigurationRecorder
Per la strategia di registrazione Registra tutti i tipi di risorse supportati attuali e futuri (ALL_SUPPORTED_RESOURCE_TYPES
), questi tipi di risorse saranno impostati su Registrazione continua.
Il configurationRecorder.json
file specifica name
e roleArn
la frequenza di registrazione predefinita per il registratore di configurazione (). recordingMode
È inoltre possibile utilizzare questo campo per sovrascrivere la frequenza di registrazione per tipi di risorse specifici.
{ "name": "default", "roleARN": "
arn:aws:iam::123456789012:role/config-role
", "recordingMode": { "recordingFrequency":CONTINUOUS
orDAILY
, "recordingModeOverrides": [ { "description": "Description you provide for the override
", "recordingFrequency":CONTINUOUS
orDAILY
, "resourceTypes": [Comma-separated list of resource types to include in the override
] } ] } }
put-delivery-channel
I seguenti esempi di codice mostrano come utilizzare. PutDeliveryChannel
start-configuration-recorder
Per terminare l'accensione AWS Config, utilizzare il start-configuration-recorder
comando.
$ aws configservice start-configuration-recorder --configuration-recorder-name
configRecorderName